专利名称:一种数字用户线路接入复用器的安全防护方法
技术领域:
本发明涉及计算机网络和电信网络技术领域,尤其涉及一种数字用户线路接入复用器的安全防护方法。随着运营商提出宽带网络扁平化(即指网络层次减少)以节省投资的需求,DSLAM(Digital Subscriber Line Access Multiplexer数字用户线路接入复用器)实现了更多的高层协议报文处理、以及IP转发等原来二、三层交换机或者路由器才实现的功能,由于大量的协议报文是需要软件模块分析的,因此DSLAM设备的CPU负载通常会很高,如果处理的协议报文太多,会导致CPU占用率为100%,进而导致其他重要进程得不到及时处理而“饿死”,带来的危害是不可预知的,可能会造成整个DSLAM设备复位等非常严重的后果。
为了让DSLAM在网络上安全运行,防止各种非法报文的冲击,现有技术中通常有两种安全防护的措施第一种,为了防止用户侧多个终端设备同时接入或者攻击,通过配置静态MAC地址绑定XDSL(数字用户线路)端口或者通过设置端口MAC地址最大学习数目的方式,限制了用户接入的数量,从而起到安全防护的作用。采用此方法主要存在的缺陷是,每个用户接入端口都需要手工配置,管理维护的工作量很大,而且也需要了解接入终端的MAC地址,大量端口的配置难度很大。
第二种,单个终端用户也可以向用户发起攻击,通过报文发送工具软件发送大量的协议报文攻击DSLAM设备,其规避方法是DSLAM设备主机软件模块分析单位时间内需要处理的协议报文(不关心协议报文的类型),限制每秒内处理报文的数量,多余的报文直接丢弃(无论那种报文)。采用此方法主要存在的缺陷是,没有对报文类别进行细分,有些不是攻击报文,而是需要CPU进行处理的报文也有可能被丢弃,导致重要的协议状态紊乱,同时,报文统一由主机处理,其CPU占用率依然很高。
当前网络上的攻击报文一般都从用户侧即ADSL接入侧发起的,非法用户利用计算机的一些报文发送工具向上层网络发送大量报文,而DSLAM设备主要会处理从用户侧来的ARP(Address Resolution Protocol地址解析协议)、IGMP(Internet GroupManagement Protocol互联网组管理协议)、PPPOE(PPP over Ethernet以太网上点对点协议)和DHCP(Dynamic Host Configuration Protocol动态主机配置协议)几种报文,如果用户侧发送大量的这些协议报文到DSLAM上,而DSLAM都需要做处理的话,将会导致DSLAM设备CPU占用率非常之高,进而可能导致设备复位的危险,即便通过上述的两种方法可以在一定程度上限制攻击流量,但管理难度大或者可能导致其他重要协议报文丢失,也不是彻底解决问题的办法。本发明要解决的技术问题是提供一种数字用户线路接入复用器的安全防护方法,一方面,不需要在用户接入端口手工配置MAC地址或者设置MAC地址的最大学习数目,减少维护的工作量;另一方面,减少重要协议报文的丢失,降低CPU占用率。
本发明是通过下面的技术方案来实现的一种数字用户线路接入复用器的安全防护方法,包括以下步骤101、单板硬件从与其对应的每个XDSL端口捕获特定协议报文送给单板CPU;102、单板CPU对收到的所述特定协议报文进行检测;103、单板CPU判断单位时间内所述特定协议报文的流量是否超过预设的阈值,若不超过,则单板CPU将所述特定协议报文上交主机CPU进行处理;否则,单板CPU停止将所述特定协议报文上交主机CPU。
步骤103中单板CPU停止将所述特定协议报文上交主机CPU时,还包括单板CPU向主机发出所述XDSL端口存在攻击的信息,主机将所述XDSL端口列入黑名单。
步骤103中主机将所述XDSL端口列入黑名单后,还包括单板CPU判断单位时间内所述特定协议报文的流量是否还超过预设的阈值,若不超过,则单板CPU向主机发出所述XDSL端口不存在攻击的信息,主机将所述XDSL端口清出黑名单,并接收和处理所述特定协议报文;否则,单板CPU不向主机发出任何信息。
本发明的进一步改进在于单板CPU以一定的时间间隔对所述特定协议报文的流量进行判断。
步骤103中单板CPU停止将所述特定协议报文上交主机CPU时,还包括单板CPU直接丢弃所述特定协议报文。
本发明的进一步改进在于所述特定协议报文为地址解析协议报文、互联网组管理协议报文、以太网上点对点协议报文和动态主机配置协议报文中的一种或者多种。
由于采用了以上的技术方案,DSLAM设备中各个业务单板CPU对每个XDSL端口单位时间内收到的协议报文类型进行区分,并相应限定协议报文的流量,在减少重要协议报文丢失的同时,使主机CPU免于处理一些不必要的协议报文,减轻了主机CPU的负担,降低了主机CPU的占用率;DSLAM设备中的主机CPU只对业务单板CPU送来的协议报文进行处理,而对协议报文的区分和流量限定则由各个业务单板CPU来分担处理,提高了DSLAM设备对大量协议报文防护的处理效率,使设备安全、稳妥,避免设备受到非法报文的攻击;DSLAM设备中设置了统一管理黑名单的方式,方便了运营管理和网管维护;本发明可以针对端口级限制,根据具体的情况,对端口协议报文流量的阈值进行设定,以及对端口重新开放的延时进行设定,提高了DSLAM设备对非法协议报文进行防护的灵活性,有效限制了特定用户大量非法报文对设备的冲击,不影响合法用户的正常连接,甚至非法用户的正常业务也可以不中断;在遭受攻击的时候不影响主机对正常协议报文的处理,也不影响其他业务的运行;本发明的技术方案实现简单,易于维护,不需人工配置,减少了维护的工作量。
图1是本发明中DSLAM设备的分布式总线机制的组网示意图。
图2是本发明DSLAM设备的安全防护方法流程图。下面以ADSL(非对称数字用户线路)为例结合附图对本发明进行进一步阐述如图1所示,是DSLAM设备的分布式总线机制的组网示意图,图中的虚线框内为DSLAM设备,其包括一个主机和多个ADSL单板,多个ADSL单板都分别与主机相连,主机的上行口连接到上层网络中,用户侧的PC机则通过MODEM连接到对应的ADSL单板上,主机中设置有主机CPU,各个ADSL单板中也分别设置有各自的单板CPU。在网络正常的情况下,用户侧的PC机发送的各种协议报文依次通过MODEM、ADSL单板传输到主机上,当协议报文从用户侧的PC机发送到ADSL单板上以后,单板硬件会把协议报文捕获到单板CPU,然后送至主机CPU统一处理。
如图2所示,是本发明DSLAM设备的安全防护方法流程图,该方法能够自动判断每个ADSL用户单位时间内特定协议报文流量超出阈值后,主动对特定协议报文流量超出阈值的ADSL用户实施流量抑制,并把该ADSL用户列入黑名单由主机进行统一管理,经过一定时间间隔后,再次判断黑名单中ADSL用户的报文流量,以便对该受流量抑制的ADSL用户重新进行开放,具体过程如下单板硬件从与其对应的ADSL端口(即图1中ADSL单板与MODEM连接的端口)捕获特定协议报文送给单板CPU,即步骤01。
之后执行步骤02,即单板CPU对收到的特定协议报文进行检测,并判断单位时间内所述特定协议报文的流量是否超过预设的阈值,若不超过,则执行步骤03,即单板CPU将所述特定协议报文上交主机CPU进行处理;否则,执行步骤04,即单板CPU停止将所述特定协议报文上交主机CPU。
单板CPU停止将所述特定协议报文上交主机CPU时,执行步骤05,即单板CPU直接丢弃所述特定协议报文,同时,执行步骤06,即单板CPU向主机发出所述ADSL端口存在攻击的信息,主机将所述ADSL端口列入黑名单实施统一管理,同时不处理所述ADSL端口已经上报的特定协议报文。
在主机将所述ADSL端口列入黑名单后,执行步骤07,即经过一定的时间间隔单板CPU再次判断单位时间内所述特定协议报文的流量是否还超过预设的阈值,若超过,则执行步骤08,即单板CPU不向主机发出任何信息,等待一定的时间间隔,单板CPU又一次判断单位时间内所述特定协议报文的流量,如此周而复始;否则,执行步骤09,即单板CPU向主机发出所述ADSL端口不存在攻击的信息,主机放开对所述ADSL端口的监管,将所述ADSL端口清出黑名单,并正常接收和处理所述特定协议报文。
另外,ADSL端口存在攻击的情况下,单板CPU停止将所述特定协议报文上交主机CPU,分担了主机的CPU负载,同时,主机不需要处理该ADSL端口已经上报的特定协议报文,主机的CPU负载不会很大。从用户侧PC机送上来的报文主要是业务流(其中包含少量协议报文),而ADSL业务单板只捕获特定协议报文到主机CPU处理,该ADSL端口其他的业务流量则通过硬件转发,因此实现对攻击报文隔离的情况下还保证了普通业务流的正常运行。
需要指出的是,所述特定协议报文是地址解析协议报文(ARP)、互联网组管理协议报文(IGMP)、以太网上点对点协议报文(PPPOE)和动态主机配置协议报文(DHCP)中的一种或者多种,用户可以根据实际的组网情况和用户自身的特点进行选择,这样在提高DSLAM设备对攻击协议报文防护能力的同时,也增加了防护的灵活性。
本发明的DSLAM设备中各个业务单板CPU对每个ADSL端口单位时间内收到的协议报文类型进行区分,并设定相应协议报文流量的阈值,使得ADSL端口的协议报文流量在合理的范围之内,避免DSLAM设备受到非法报文的攻击,在减少重要协议报文丢失的同时,使主机CPU免于处理一些不必要的协议报文,降低CPU占用率。
权利要求
1.一种数字用户线路接入复用器的安全防护方法,其特征在于,包括以下步骤101、单板硬件从与其对应的每个XDSL端口捕获特定协议报文送给单板CPU;102、单板CPU对收到的所述特定协议报文进行检测;103、单板CPU判断单位时间内所述特定协议报文的流量是否超过预设的阈值,若不超过,则单板CPU将所述特定协议报文上交主机CPU进行处理;否则,单板CPU停止将所述特定协议报文上交主机CPU。
2.根据权利要求1所述的一种数字用户线路接入复用器的安全防护方法,其特征在于,步骤103中单板CPU停止将所述特定协议报文上交主机CPU时,还包括单板CPU向主机发出所述XDSL端口存在攻击的信息,主机将所述XDSL端口列入黑名单。
3.根据权利要求2所述的一种数字用户线路接入复用器的安全防护方法,其特征在于,步骤103中主机将所述XDSL端口列入黑名单后,还包括单板CPU判断单位时间内所述特定协议报文的流量是否还超过预设的阈值,若不超过,则单板CPU向主机发出所述XDSL端口不存在攻击的信息,主机将所述XDSL端口清出黑名单,并接收和处理所述特定协议报文;否则,单板CPU不向主机发出任何信息。
4.根据权利要求3所述的一种数字用户线路接入复用器的安全防护方法,其特征在于单板CPU以一定的时间间隔对所述特定协议报文的流量进行判断。
5.根据权利要求1所述的一种数字用户线路接入复用器的安全防护方法,其特征在于,步骤103中单板CPU停止将所述特定协议报文上交主机CPU时,还包括单板CPU直接丢弃所述特定协议报文。
6.根据权利要求1所述的一种数字用户线路接入复用器的安全防护方法,其特征在于所述特定协议报文为地址解析协议报文、互联网组管理协议报文、以太网上点对点协议报文和动态主机配置协议报文中的一种或者多种。
全文摘要
本发明公开了一种数字用户线路接入复用器的安全防护方法,涉及计算机网络和电信网络技术领域。该方法包括单板硬件从与其对应的每个XDSL端口捕获特定协议报文送给单板CPU;单板CPU对收到的所述特定协议报文进行检测;单板CPU判断单位时间内所述特定协议报文的流量是否超过预设的阈值,若不超过,则单板CPU将所述特定协议报文上交主机CPU进行处理;否则,单板CPU停止将所述特定协议报文上交主机CPU。本发明不需要在用户接入端口手工配置MAC地址或者设置MAC地址的最大学习数目,减少维护的工作量;另一方面,减少重要协议报文的丢失,降低CPU占用率。
文档编号H04L29/06GK1859209SQ20061003489
公开日2006年11月8日 申请日期2006年4月4日 优先权日2006年4月4日
发明者钟宇 申请人:华为技术有限公司